Linux TCP Flaw 安全性問題的暫時解法

Linux TCP 實作 RFC 5961,但是 RFC 5961 本身設計會導致有安全性問題,而這個影響範圍很廣泛,使用 TCP 都會受到影響,ex: HTTP、FTP、SSH、Telnet、DNS、SMTP ... 等。

Linux TCP Flaw 安全性問題的暫時解法

此 TCP 漏洞會造成的問題可見下述影片

  • 說明: Off-Path TCP Exploits: Global Rate Limit Considered Dangerous

下述整理自此篇新聞: Linux TCP Flaw allows Hackers to Hijack Internet Traffic and Inject Malware Remotely

  • 此 TCP Flaw 的問題,發生的環境:Kernel >= 3.6 and Kernel < 4.7
  • 註:此篇討論 Linux tcp flaw? - General Discussion - Manjaro 說到 Kernel 4.7 後,此問題就解決了。

TCP Flaw Kernel 剛好符合這個條件的臨時解法

  1. vim /etc/sysctl.conf # 於檔案最下方加入下述:
    net.ipv4.tcp challengeack_limit = 999999999
  2. sysctl -p # 使用 root 執行

此問題為何只有 Linux 會發生,而 Windows、OS X 和 FreeBSD 都沒有此問題?

此篇新聞的作者認為:因為他們沒有完整實作 RFC 5961... XD

相關網頁

  • Linux TCP flaw lets 'anyone' hijack Internet traffic
  • Linux security backfires: Flaw lets hackers inject malware into downloads, disrupt Tor users, etc
  • Vulnerability in the Linux kernel's tcp stack implementation

The post Linux TCP Flaw 安全性問題的暫時解法 appeared first on Tsung's Blog.

你可能感兴趣的:(linux,hack,news,crack,flaw)